Ситуация схожая с этой темой на форуме
[URL]http://virusinfo.info/showthread.php?t=13494[/URL]
Логи прикрепляю
Printable View
Ситуация схожая с этой темой на форуме
[URL]http://virusinfo.info/showthread.php?t=13494[/URL]
Логи прикрепляю
Пофиксите в HijackThis:
[code]
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\idaw64.exe,C:\WINDOWS\system32\vmware-ufad.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\idaw64.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Lry53.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Cmnd58.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Cmnd58.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Lry53.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\idaw64.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
Высылаю логи...
Карантина вашего нет.
В логах ничего подозрительного не видно...
А почему они в безопасном режиме? В обычном не получается?
Два антивируса - это плохо, надо один убрать.
В безопасном режиме делалось, потому что в обычном режиме даже запуск Dr.Web - CureIT комп уходит в перезагрузку..
Сейчас проверю еще раз запустить..
Два антивира стоит, не знаю почему. До меня видать пытались както полечить эту ситуацию. Каспер оставлю, он корпоративный, а НОД удалю.
Спс за помощь..
З.Ы. Все нормально, спасибо ребят !
Карантин все таки пришлите, нужен для анализа.
[quote=Bratez;164521]Карантин все таки пришлите, нужен для анализа.[/quote]
Пришлю попозже, уехал из офиса.
Сорри за задержку. Скидываю логи:
А где вчерашний карантин - пришлите, загружать тут:
[url]http://virusinfo.info/upload_virus.php?tid=15683[/url]
Потом выполните такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\shil03\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\shil03\LOCALS~1\Temp\winlogon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Если вдруг карантин будет не пустой - пришлите по правилам.
Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.
Профиксить:
[CODE]O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\shil03\LOCALS~1\Temp\winlogon.exe[/CODE]
Два файла с каратнином отправил.
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\shil03\LOCALS~1\Temp\winlogon.exe
не удалось пофиксить, отсутствует запись
прикрепляю лог
Проблема решена?
[quote=rubin;164883]Проблема решена?[/quote]
после скрипта в карантин попало два файла, карантин выслал. Пока жду ответа :)
to Bratez
пока все оставим... я еще не в курсе что надо , а что нет (недавно работаю)
В первом карантине ничего интересного, второй пустой.
Больше ничего подозрительного у вас нет.
Карантин пустой, делаем контрольные логи,как в первом сообщении. После них будем выписывать из больницы ;)